您的组织名称:
seczone 网站:
https://www.seczone.cn/
兼容功能:
Sourcecheck 功能主页:
https://www.seczone.cn/channels/sdl-sca.html
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Sourcecheck支持工具端中当前CWE标识符的显示,同时,它还支持升级相关数据离线。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
使用和引用的CWE标准在“ Sourcecheck用户手册”中给出。用户手册中有有关CWE的一章,该章节描述了相关的CWE信息并声明了特定的CWE版本。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
具体而言,可以以相关频率离线更新数据。在标准情况下,相关漏洞数据库每月将进行一次更新,并且漏洞和CWE之间的映射关系将同时更新,如果找到高风险,应在8小时内在8小时内更新漏洞数据库,以及其他相关的映射内容将同时更新。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
该描述可以在“ Sourcecheck操作手册”的第16章(附录Chapter_cwe信息)中找到。有关详细信息,请参见屏幕截图。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
分析结束后,用户搜索相应的CWE号,显示映射到CWE号码的漏洞信息,单击漏洞详细信息,并输入漏洞详细信息页面以查看漏洞详细信息。请检查屏幕截图。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
用户操作手册提供了该工具执行的每个测试的列表和相关的CWE徽标(或其他编码规则),如图所示:
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
支持的CWE标签可以显示在全文搜索库中。对应于(在标题CWE编号中)查看支持的CWE标识符列表。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
在检测和审查过程中,单击“ Sourcecheck应用程序详细信息”下的特定组件内容,以查看与相关漏洞相对应的CWE标识符,如图所示。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
通过单击工具中的特定CVE列表,您可以清楚地看到相关的CWE标识符,在输入详细信息页面时,您还可以看到CWE的内容,如图所示。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
相关披露的漏洞类型的列表可以在当前的“源技术资产”列表中看到,但是,CWE的包含主要基于所示的披露的组件漏洞,如图所示。
获取与任务相关的CWE标识符列表
给出详细的示例和解释用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
在Sourcecheck应用程序包检测和审核过程中,平台界面中获得的组件漏洞细节与CWE标识符完全对应,如图所示:
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
Sourcecheck用户可以通过B/S平台和手册获取相关的CWE信息和说明列表,但是,在此阶段,CWE信息并非全部包括在此阶段中,如果您需要获取相关的CWE信息,我们可以提供一个清单。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
参见<CR_B.3.1>
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
Sourcecheck用户可以通过平台提供的知识库查看漏洞和弱点类型来搜索和找到相关信息。如图所示。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
Sourcecheck的CWE标识符主要是通过包含漏洞的过程来获取CWE类型,并在关系数据库中建立CWE和CVE之间的映射关系,以便用户可以在客户端中查看CWE标识符。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:ji yin
标题:产品经理
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,据我所知,我们功能存储库与CWE标识符之间的映射没有错误,我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“
姓名:ji yin
标题:产品经理
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,据我所知,通常在我们的能力报告特定的安全元素时,通常是正确的,通常是当发生与特定安全元素相关的事件时,我们的能力通常将其报告。“
姓名:ji yin
标题:产品经理
|
普遍的弱点
播客
中等的
万博下载包新闻档案
